​​Роутеры бывают разные

В комментариях подписчик задал вопрос – кто что использует сейчас в качестве роутера, чтобы удовлетворял всем современным требованиям к трубопроводам, КВН и всему такому прочему.

Вопрос интересный, поэтому решили сделать отдельную заметку. Скажем сразу – это не про домашний роутер простого человека. Мы будем исходить из того, что рассматриваем ситуацию, когда владелец всего этого добра знает, понимает и умеет, хотя бы на базовом уровне.

Сразу скажем – одного роутера сегодня вам будет мало. Потому что ситуация меняется с каждым днем и то, что еще вчера работало, сегодня работать перестает. Трубы засоряются, команды КВН внезапно испытывают глубокий творческий кризис и т.д. и т.п.

Это все требует определенной гибкости и вариативности, которую роутер не всегда может предоставить или предоставить не в полном объеме, или вообще иметь собственное представление о прекрасном, которое не совсем сочетается с вашим.

Следующий момент – роутер достаточно ограничен по ресурсам и не всегда может полноценно тянуть заданную вами нагрузку, даже если он поддерживает нужные вам технологии и протоколы.

Поэтому мы приходим к тому, что кроме роутера вам понадобится отдельный хост для работы вспомогательных сетевых служб, который позволяет быстро поднять на нем все, что вам потребуется без оглядки на поддержку, совместимость, ресурсы и т.д. и т.п.

Это может быть как «малинка» / «бананка» / «репка» или что-то более серьезное на x86. Из нового – это компактные неттопы на N100, которые можно купить от 15 000 руб., из б/у можно посмотреть на Авито неттопы на J1900 / N 3xxx, которые можно купить в хорошем состоянии где-то за 5000 руб.

А если у меня есть NAS / Медиасервер / Домашняя лаба (нужное подчеркнуть). Нет и еще раз нет. Сетевые службы являются критически важными и поэтому должны быть доступны 24/7 вне зависимости от других сервисов.

Поэтому отдельная железка – самое то. Сегодня на нее, как минимум, логично возложить функции VPN / Прокси и локального кеширующего DNS.

А что же роутер? А роутеру оставим его основную функцию – маршрутизацию.

Что касается самого роутера, то мы видим тут три основных варианта:

🔹 Mikrotik – умеет все, что нужно домашнему роутеру и даже намного больше. Но требует определенных знаний и умений. В наше время еще и дороговат, также потребует стороннего решения для Wi-Fi, если вы не садомазохист.

🔹 Keenetic – достаточно мощная и продвинутая платформа с низким порогом входа и дружелюбным интерфейсом. Может многое и не требует специфичных знаний для настройки. Минусы – достаточно дорого. Плюсы – хороший Wi-Fi из коробки.

🔹 OpenWRT – привет красноглазие. Порог входа не ниже, чем на Mikrotik, а то еще и побольше. Потому как надо еще уметь прошивать, заливать, разблокировать и прочую аппаратно-программную магию. Но возможности там практически как у нормального Linux и роутер можно взять относительно недорогой. По Wi-Fi – как повезет, но скорее да, чем нет.

А так вообще вариантов достаточно много, если вы вынесете все основные сетевые сервисы на дополнительный ПК, то можно вообще взять обычный роутер в стоке и пробросить нужные порты куда надо.

Еще есть варианты с перешивкой под Keenetic некоторых недорогих моделей роутеров, но там прошивкой занимается один энтузиаст и вы будете полностью зависеть от него, как в вопросах доверия, так и в ситуации «я устал, я ухожу».

Но в целом общая концепция следующая – роутер, как роутер, т.е. занимается маршрутизацией, предоставляет функции межсетевого экрана и все такое прочее.

Отдельный хост – как сосредоточие сетевых служб: VPN, Proxy, DNS и все что может понадобиться еще. Там стоит классический Linux и возможности ограничены только вашей фантазией и наличием пакетов.

Конь, просто конь… Троянский

Весной я рассказывал про PowerLine адаптеры, которые мой товарищ купил для того, чтобы быстро провести интернет в гараж - https://t.iss.one/interface31/4121

А сегодня он порадовал меня веселой картинкой. Адаптеры б/у от МГТС, куплены на Озоне. В веб-интерфейс он зашел случайно. Сканировал сеть, увидел, что таковой на этих железках есть ну и любопытно стало.

На одной из страниц осталась активная настройка подключения к провайдерскому ACS (сервер автоконфигурации и диагностики). Т.е. его устройство фактически все это время находилось под потенциальным чужим управлением.

В данном случае это не сильно страшно, но факт остается фактом. Как говорится – осадочек остался.

Также напомним про еще одну недавнюю публикацию, где коллега провел исследование роутеров с «вечным ВПН» на маркетплейсах - https://t.iss.one/interface31/4440

❗️ Из всего вышеизложенного можно (и нужно) сделать один вывод – любое сетевое устройство которое попало к вам в распечатанной коробке следует считать потенциально троянским, пока не будет доказано обратное (желательно полным сбросом и перепрошивкой).

Пишут, что это скриншот с сервера Аэрофлота, надпись в нижнем правом углу прекрасна.

Также не удивлюсь, если обновления на него последний раз ставили во времена Царя Гороха.

Как я искал вчерашний день

Третьего дня заглянул я в список аренды IP-адресов своего роутера и сразу глаз зацепился за некоторую неправильность – в списке присутствовало сразу два устройства с классом android-dhcp-14.

Что здесь неправильного? А то, что я точно знаю, что Android 14 в домашней сети есть на единственном устройстве – телефоне сына. А если появился второй, то значит в сеть подключилось некое неопознанное устройство.

Ситуация сама по себе непонятная и неприятная, особенно если ты привык считать, что полностью контролируешь свою сеть.

Кто же это может быть? Может сын что принес или установил какой эмулятор? Спросил. Нет, ничего такого он не делал, он вообще последнее время RGB-тюнингом нового ПК занят.

МAC? А что MAC? Мобильные устройства давно генерируют его случайным образом при подключении к новой сети. Ну даже и выяснишь ты, что это какой-нибудь Mediatek, дальше что?

Будем изучать, начнем с сетевой активности. Сетевая активность ничем не отличается от телефона в состоянии покоя. Никуда особо не лазит, трафик не генерирует, обращается в основном к сервисам гугла и погоде.

Точно телефон. Но чей? Дальнейший анализ показал, что устройство подключено к точке в центре квартиры. Тут еще интереснее. Ладно бы к той, что на кухне, там от подъезда за нее зацепиться можно, но эта…

Тем более что мощность передатчиков я прикрутил, чтобы не светили далеко. Соседи? Да вроде не похожи они на хакеров…

Ладно, будем смотреть дальше. В мое отсутствие устройство активности не проявляло, вечером тоже ушло с радаров. Но утром и днем снова появилось. Причем активное, постоянно продляющее аренду.

Снова ушел – и оно пропало, вернулся – появилось. Что за ерунда???

Снял логи с точек доступа и выяснил, что устройство эпизодически перемещается между точками и время как-то подозрительно совпадает…

Так, а где был в это время мой собственный телефон? Там же где и это устройство.

Бинго! Это же новые умные часы Samsung, которые умеют в Wi-Fi и внутри которых новая WearOS на базе Android 14. Захожу в часы – MAC и IP адрес совпадают. А так как часы умные, то в целях энергосбережения они отключают Wi-Fi, когда он не нужен.

Вечером часы снова пропадают с радаров. Прошу жену прислать чего-нибудь на WhatsApp. Тишина, хотя сообщение на часы пришло. А если с фоткой? Ага, вот и Wi-Fi включился. Правильно, чего насиловать медленный Bluetooth, когда можно быстро получить все по Wi-Fi.

Поэтому днем, пока активно приходят сообщения и ты смотришь их на часах – они активны и светятся в сети, а вечером выключают сеть и отдыхают.

Такая вот история. Мораль из этой истории проста: принесли и подключили новое устройство – посмотрите какой у него MAC, какой адрес оно получило, как представилось DHCP-серверу и как вообще отображается в сетевом окружении, мониторинге и т.д.

Это добавит спокойствия и уверенности, а также избавит от подобных поисков вчерашнего дня.

​​Спрашивают – отвечаем. Надо ли заземлять экран витой пары?

Очень часто задают вопрос – надо ли заземлять экран витой пары ScTP, FTP, SFTP и как именно это делать. Кто-то говорит, что это необязательно, кто-то предлагает заземлять только с одного конца. Так кого же слушать?

А слушать надо то, что говорят стандарты. И сегодня нам на помощь придёт ГОСТ Р 53246-2008 СИСТЕМЫ КАБЕЛЬНЫЕ СТРУКТУРИРОВАННЫЕ Проектирование основных узлов системы. Общие требования.

Итак, что нам говорит стандарт про экранированную витую пару:

Экранирование проводников кабеля помогает улучшить защиту от электромагнитного излучения, создаваемого носителями сигналов, и невосприимчивость к воздействию электромагнитных помех от внешних источников.

Способность экрана создавать определенные преимущества для кабельной системы зависит от множества факторов. К этим факторам можно отнести рабочие характеристики компонентов кабельной системы, специфические методы и тщательность монтажа, а также конструктивные особенности и способы подключения активного оборудования.

Итак. Экран нужен нам для защиты как от внешних, так и внутренних помех, но его эффективность завит от многих факторов, в т.ч. и от тщательности монтажа.

Но одним экранированным кабелем дело не обходится, снова читаем стандарт:

Экранированное коммутационное оборудование предназначено для терминирования экранированных кабелей типов ScTP/FTP и S/FTP на основе витой пары проводников с волновым сопротивлением 100 Ом.

Для обеспечения эффективности экранирования системы требуется сохранение непрерывности экрана во всех компонентах кабельных подсистем в моделях линий и каналов, а также подключение экранов к телекоммуникационной системе заземления и уравнивание потенциалов в соответствии с требованиями нормативных документов.

Поэтому кроме экранированного кабеля нам еще понадобится экранированное оборудование, способное терминировать экранированные кабели и обеспечивать непрерывность экрана.

Т.е. вам понадобятся еще экранированные коннекторы, патч-панели, розетки и активное сетевое оборудование, поддерживающее работу с экранированными кабелями.

При этом стандарт прямо запрещает создание патч-кордов и коммутационных перемычек на основе экранированной витой пары в полевых условиях.

Таким образом вывод можно сделать однозначный: применение экранированной витой пары требует ее сочетания с экранированным сетевым оборудованием и требует обязательного обеспечения непрерывности экрана.

☝️ Т.е. оставить экран кабеля не подключенным к экрану коннектора или патч-панели нельзя!

Неподключенный экран в некоторых ситуациях способен работать в качестве большой антенны и дополнительно собирать на себя наводки.

С экраном разобрались, но пока ни слова не было сказано о заземлении. Вообще, для работы экрана заземление как таковое не нужно, достаточно того, чтобы он был подключен в точку с постоянным потенциалом. Поэтому в стандарте говорится о системах заземления и уравнивания потенциалов.

А вот здесь мы вступаем на скользкую тропу электротехники и вторгаемся в отрасль весьма далекую от администрирования. Поэтому попробуем по-простому.

Именно заземление является самым простым и надежным способом обеспечить точку с постоянным потенциалом, которая нужна для работы экрана. В идеале – это иметь отдельную шину заземления для коммуникационного оборудования, т.н. информационную землю.

На практике же бывает разное, очень разное. Это и отдельные шины заземления в разных частях здания или предприятия, и зануление вместо заземления, да и просто не соответствующие стандарту заземление.

К чему это может привести? А к тому, что между двумя точками земли может оказаться разность потенциалов и по экрану потечет ток, со всеми вытекающими. Именно поэтому существует совет заземлять кабель только с одной стороны. Либо подключать экран к земле через емкость.

Но повторюсь еще раз – здесь мы выходим за рамки администрирования и данный вопрос следует решать с ответственными за это сотрудниками.

Ходят, бродят, ищут чего-то…

Перед вами лог веб-сервера, отфильтрованный по коду 404. Как видим, боты усердно ищут некий адрес /cgi-bin/luci/;stok=/locale.

А что это за адрес? А это веб-панель от OpenWRT – LuCI. А конкретно ищут уязвимость от 2018 года, позволяющую обойти механизмы аутентификации и получить root-доступ.

И вообще почитать список уязвимостей в LuCI весьма познавательно. Нет, мы не про то, что OpenWRT плох или это решето. Но это решение, которое нужно постоянно сопровождать и поддерживать, иначе может быть «ой». В любом случае это не решение класса «поставил и забыл»

Новые находки в старом чулане

Вчера вечером из недр чулана был извлечен на свет еще один раритет – жесткий диск Seagate ST380011A объемом целых 80 ГБ, произведен в далеком и светлом 2004 году, т.е. более 20 лет назад.

Самое время оглянуться и посмотреть какой путь прошла индустрия за это время, особенно это будет полезно молодым, которые подобного оборудования в руках не держали.

Поэтому вернемся ненадолго в 2004 и посмотрим, что там вообще происходило на рынке жестких дисков.

А могли мы там увидеть линейку моделей от 40 до 250 ГБ (40/80/120/160/250) с интерфейсами IDE и SATA. SATA тогда только делал свои первые шаги и особой популярностью не пользовался по многим причинам, некоторые из них мы осветим ниже.

А топовой моделью 2004 года стал Hitachi Deskstar 7K400 на целых 400 ГБ, хотя найти его в продаже было затруднительно.

Наш диск имеет интерфейс IDE и поддерживает спецификацию Ultra DMA (Ultra ATA/100). Казалось бы неплохо, но это только максимальная пропускная способность интерфейса, в реальности данная модель развивала куда более скромные скорости линейного чтения/записи примерно на уровне 54 МБ/с.

Сегодня такой объем и скорость способна обеспечить средняя флешка, но для той поры это был очень неплохой диск. Не топ, но крепкий середнячок.

После чего становится понятно и отношение к интерфейсу SATA у тогдашних пользователей. Ничего нового он еще не привнес, очереди команд NCQ только находились в разработке и фактически это была просто смена интерфейса без изменения характеристик самого диска.

Сегодня, когда мы ругаемся на очень медленный TLC-флеш, со скоростями около 100-150 МБ/с и привыкли видеть 150-250 МБ/с у обычного жесткого диска такие показатели выглядят дико. Но тогда это был массовый и достаточно неплохой жесткий диск.

Да и объемы информации тогда были другие. Я примерно в те же годы прикупил себе два таких диска и реально не знал, чем их забить. Один я разбил под систему и холодные данные, а второй использовал для установки игр и первых попыток поработать с виртуализацией.

Сегодня же флешка на 128 ГБ постоянно чем-то забита, причем забита всякой ерундой, которая чистится по принципу: так, что тут ценного? Ага, это и это. А теперь Ctrl+A, Shift + Del!!!

Тогда же и информации было меньше и отношение к ней было другое. Потому что интернет только-только начинал входить в повседневную жизнь и информацию надо было доставать. Поэтому и хранили ее бережно и структурировано.

А что сейчас? А сейчас места много, скорости доступа большие, трафик безлимитный – качай в кучу, потом разберемся.

Но это уже совсем другая история. А пока что можно просто оценить какой путь прошла отрасль за 20 лет и то, что мы имеем сегодня казалось нам, тогдашним, недостижимой фантастикой.

Speedtest - всё!

Оно, конечно, можно... Но смысл?

Роскомнадзор заблокировал в РФ сервис по измерению скорости интернета Speedtest от компании Ookla из-за угрозы безопасности российского сегмента сети Интернет.

​​Последствия запрета SpeedTest

Судя по комментариям к вчерашней заметке не все поняли, что такое запрет SpeedTest и чем он может грозить.

Начнем с того, что SpeedTest – это не сайт, на котором можно померять скорость интернета, а сложный геораспределенный сервис, где мы можем измерить скорость между своим ПК и любым другим узлом этой сети.

Достигается это специальным ПО SpeedTest, которое ставят на свои сервера провайдеры, хостеры и многие другие онлайн-сервисы. При этом результаты SpeedTest считаются некоторым стандартом по умолчанию.

Т.е. если вы недовольны качеством какого-то онлайн сервиса, то вы всегда можете протестировать канал именно к нему. Попутно проверить последнюю милю на сервере провайдера и сделать выводы.

Выяснив адреса промежуточных узлов, мы тоже можем попытаться найти на них SpeedTest-сервера и проверить скорость на участке от себя до них.

Для клиентов SpeedTest предоставлял консольную утилиту, которую можно было гонять по расписанию, а результат отдавать мониторингу, для того же Zabbix есть готовые шаблоны. И таким образом вовремя узнавать о деградации канала к важным сетевым службам.

Этой возможностью пользовались и пользуются многие, особенно когда у вас в облаках телефония и прочие требовательные к ширине канала службы.

Запрет SpeedTest обозначает не блокировку сайта, а запрет на использование отечественными организациями серверного ПО, которое нужно для организации узлов SpeedTest. После чего проверить скорость к отечественным узлам вы банально не сможете.

Открытые решения, которые вчера приводили читатели или тот же iperf проблему не решают, так как позволяют проверять канал между своими узлами, но не дают возможности контролировать его к сторонним провайдерам.

Все, что вы сможете таким образом проверить – это канал между своим узлом А и своим же узлом Б и даже провайдеру вы с этим результатом ничего не предъявите, так как он вполне обоснованно скажет, что это не у меня затык, а где-то дальше по дороге.

Что касается возможных замен, то до их широкого распространения и охвата сравнимого с охватом SpeedTest еще дожить надо и, честно говоря, такой альтернативы пока не просматривается.

​​Как пройти в кинотеатр в три часа ночи при помощи навигатора Mikrotik

Есть тут в наших краях ночной кинотеатр, над его входом висит импортная вывеска wireguard1 и еще в нем есть заморская справочная система типа DNS (но не та, которая магазин).

Почтовый индекс нашего кинотеатра: 10.20.1.1

Так как кинотеатр импортный, то он всяко хитро автоматизирован. Все, кто забронировали места заносятся в специальный список YTB (фиг его знает, что это значит, но выглядит солидно).

/ip firewall address-list add address=youtube.com list=YTB
/ip firewall address-list add address=youtu.be list=YTB
/ip firewall address-list add address=yt.be list=YTB
/ip firewall address-list add address=googlevideo.com list=YTB
/ip firewall address-list add address=ytimg.com list=YTB
/ip firewall address-list add address=ggpht.com list=YTB
/ip firewall address-list add address=gvt1.com list=YTB
/ip firewall address-list add address=youtube-nocookie.com list=YTB
/ip firewall address-list add address=youtube-ui.l.google.com list=YTB
/ip firewall address-list add address=youtubeembeddedplayer.googleapis.com list=YTB
/ip firewall address-list add address=youtube.googleapis.com list=YTB
/ip firewall address-list add address=youtubei.googleapis.com list=YTB
/ip firewall address-list add address=yt-video-upload.l.google.com list=YTB
/ip firewall address-list add address=wide-youtube.l.google.com list=YTB
/ip firewall address-list add address=google.com list=YTB
/ip firewall address-list add address=google.ru list=YTB

Дети, собаки и прочие близкие родственники зрителей пропускаются бесплатно, они проверяются справочной системой типа DNS и также автоматически заносятся в списки:

/ip dns static add address-list=YTB forward-to=10.20.1.1 match-subdomain=yes name=youtube.com type=FWD
/ip dns static add address-list=YTB forward-to=10.20.1.1 match-subdomain=yes name=googlevideo.com type=FWD
/ip dns static add address-list=YTB forward-to=10.20.1.1 match-subdomain=yes name=ggpht.com type=FWD
/ip dns static add address-list=YTB forward-to=10.20.1.1 match-subdomain=yes name=youtu.be type=FWD
/ip dns static add address-list=YTB forward-to=10.20.1.1 match-subdomain=yes name=yt.be type=FWD
/ip dns static add address-list=YTB forward-to=10.20.1.1 match-subdomain=yes name=ytimg.com type=FWD
/ip dns static add address-list=YTB forward-to=10.20.1.1 match-subdomain=yes name=gvt1.com type=FWD
/ip dns static add address-list=YTB forward-to=10.20.1.1 match-subdomain=yes name=youtube-nocookie.com type=FWD
/ip dns static add address-list=YTB forward-to=10.20.1.1 match-subdomain=yes name=googleapis.com type=FWD
/ip dns static add address-list=YTB forward-to=10.20.1.1 match-subdomain=yes name=google.com type=FWD
/ip dns static add address-list=YTB forward-to=10.20.1.1 match-subdomain=yes name=google.ru type=FWD

Список детей и собак действует сутки, потом его надо обновлять:

/ip dns set address-list-extra-time=1d

Каждому на входе автоматически выдают билетик:

/ip firewall mangle add action=mark-routing chain=prerouting dst-address-list=YTB new-routing-mark=ytb passthrough=no

А тут у нас вход в кинозал, но до него еще дойти надо, ночь на дворе, темно…

/ip firewall nat add action=masquerade chain=srcnat out-interface=wireguard1

А для этого у нас есть информационно-указательная система:

/routing table add disabled=no fib name=ytb

На которую выводится информация как именно пройти в кинотеатр в три часа ночи:

/ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.20.1.1 pref-src= 0.0.0.0 routing-table=ytb scope=30 suppress-hw-offload=no target-scope=10

После прочтения указанной китайской грамоты содержимое съесть, навигатор перезагрузить.

Жизнь и необычайные приключения DNS в одной сети

Продолжая тему DNS, точнее борьбы с утечкой DNS хотим рассказать о собственном опыте, он во многом частный и субъективный, но во многом помогает понять на что надо обратить внимание и куда смотреть.

Начнем со всеми любимых роутеров Mikrotik. Если мы заглянем с настройки DNS, то можем увидеть там, как доступные к редактированию поля, где записаны указанные нами значения вышестоящих серверов, так и недоступные к редактированию значения, которые берутся из настроек DHCP или коммутируемого соединения. Т.е. то, что передал нам провайдер.

Они используются как дополнительные DNS, если не отвечают те, которые мы указали явно – в дело идут следующие по списку. Это не хорошо и не плохо, это нормальное поведение DNS-клиента.

Далее есть еще одна тонкость, если в настройках DHCP-сервера у вас явно не указана Option 6, она же адрес(а) DNS, то ваш DHCP передаст как собственный адрес (первым), так и все внешние адреса, которые указаны в настройках вышестоящих DNS.

Таким образом, если ваш роутер вдруг по какой-то причине перестал отвечать на DNS-запросы они пойдут напрямую внешним серверам.

Вот так вы можете легко и непринужденно начать использовать на клиентах совсем не те DNS-сервера, которые предполагали.

Но это еще не все. Проанализировав DNS-трафик в сети, мы выяснили, что мобильные устройства на Android эпизодически обращаются к DNS-серверам Google, хотя эти сервера нигде в настройках сети до этого не фигурировали.

Скорее всего такое поведение зашито где-то внутри ОС и предполагает использование именно доверенных для нее серверов. Такое поведение можно понять, но с позиции наших целей, а именно защитить DNS-запросы от просмотра третьими лицами – налицо типичная утечка.

Но это половина беды. От тех же мобильных устройств и телевизоров были обнаружены DNS-запросы к вообще третьим DNS-серверам, о существовании которых мы ранее не догадывались.

Причем это не какие-то левые сервера, а достаточно крупные региональные сервисы или сервисы крупных хостеров, как вероятно зашитые разработчиками приложений в свои разработки. Это тоже не особо страшно и не особо плохо, но в наличии у нас имеется факт, что отдельные приложения могут также игнорировать системные настройки DNS.

Вы думаете, что это все? Но нет. Отдельно порадовали два роутера Xiaomi AX3000T, которые продолжили обращаться к внешним серверам, используемыми нами до этого и серверам провайдера.

При этом сетевые настройки они получают от DHCP-сервера на Mikrotik, но все настройки, кроме адреса и шлюза тупо игнорируют.

В веб-интерфейсе и приложении доступа к этим настройкам также нет. Перезагрузка не помогает и приводит только к замене одного сервера на другой из списка.

Есть предположение что DNS-сервера были взяты при первоначальной настройке и добавлены в некоторый конфигурационный файл, который при смене настроек DHCP не обновляется.

В данном случае они работают именно как точки доступа и разрешают только свои внутренние запросы. Но все равно, данный факт показывает, что активное сетевое оборудование в вашей сети также может иметь свои собственные взаимоотношения с DNS, что может приводить к утечкам.

Пока мы плотно не занялись этим вопросом, то предполагали, что основной риск утечки DNS несут пользователи, которые могут вручную поменять сервера в настройках сетевого подключения.

В реальности же это оказалось далеко не так и основной риск исходит от сетевых устройств и сетевых приложений, которые могут игнорировать (и успешно это делают) системные настройки DNS.

Как включить Hyper-V в Windows 10/11 Home

Домашние (Home) версии Windows достаточно распространены в OEM-сегменте и могут быть установлены на достаточно мощные устройства, которые вполне годятся для работы с виртуализацией.

Однако компонента Hyper-V недоступна для пользователей домашней редакции по маркетинговым соображениям, что делает невозможной работу не только с классическими виртуальными машинами, но и с WSL (Windows Subsystem for Linux).

Но не стоит отчаиваться, данный момент довольно просто исправить, для чего используем скрипт, подготовленный командой Microsoft Virtualization team (https://github.com/MicrosoftDocs/Virtualization-Documentation/)

Данный скрипт проскочил там в разделе вопросов и ответов, но затем его быстро убрали.

pushd "%~dp0"
dir /b %SystemRoot%\servicing\Packages\*Hyper-V*.mum >hyper-v.txt
for /f %%i in ('findstr /i . hyper-v.txt 2^>nul') do dism /online /norestart /add-package:"%SystemRoot%\servicing\Packages\%%i"
del hyper-v.txt
Dism /online /enable-feature /featurename:Microsoft-Hyper-V -All /LimitAccess /ALL
Pause

Указанный текст следует поместить в .bat файл и выполнить его с правами администратора. После чего перезагрузите компьютер. Теперь можно использовать все возможности Hyper-V в домашней редакции Windows 10/11

​​Обзор бесплатных гипервизоров

🛑 Hyper-V Server – один из самых популярных гипервизоров от Microsoft, имеет низкий порог вхождения, особенно если вы до этого администрировали только Windows-сервера. Бесплатная версия базировалась на Server Core и предоставляла все те же самые функции, что и роль Windows Server.

Последний бесплатный выпуск - Hyper-V Server 2019, после чего Microsoft официально заявила об отказе от бесплатного Hyper-V. Срок поддержки Hyper-V Server 2019 истекает в 2029 году. В настоящий момент Hyper-V доступен исключительно как роль Windows Server.

Hyper-V поддерживает высокодоступные конфигурации (НА кластер), однако для их настройки обязательно требуется Active Directory.

В настоящий момент разворачивать новые инсталляции на Hyper-V Server большого смысла не имеет, либо вы должны четко представлять куда будете мигрировать через пять лет.

🛑 VMWare ESXi – бесплатная версия от лидера рынка виртуализации, несмотря на серьезные ограничения по ресурсам и инструментам управления, пользовалась заслуженной популярностью и широко применялась в небольших продуктивных средах.

12 февраля 2024 года компания Broadcom прекратила распространение бесплатных версий ESXi, а также закрыла доступ к обновлениям, включая обновления безопасности. Таким образом рассматривать данный продукт для новых инсталляций не имеет смысла, а пользователям текущих версий следует задуматься о миграции.

✴️ XCP-ng – форк Citrix XenServer, представляет собой бесплатное решение на базе гипервизора Xen и довольно близок к возможностям Citrix XenServer, но многие возможности и компоненты написаны самостоятельно, так как Citrix их не предоставляет или они выпускаются с закрытым исходным кодом.

У нас Xen не имеет широкого распространения и к внедрению данного гипервизора нужно подходить осторожно и взвешенно, в частности остро стоит вопрос поддержки, получить которую в русскоязычном сегменте будет затруднительно, плюс общее количество материалов по Xen в разы меньше, чем по KVM.

✴️ oVirt – система виртуализации на базе KVM разработанный компанией Red Hat и лежащая в основе коммерческой Red Hat Virtualization. Изначально ориентирована на кластеризацию и масштабирование и построена по модульной схеме.

oVirt Engine предоставляет единый интерфейс управления виртуальными машинами, которые выполняются на узлах oVirt Hosts. В небольших инсталляциях эти роли можно совместить на одном сервере.

Но в данный момент Red Hat отказалась от дальнейшего развития Red Hat Virtualization, поддержка которого заканчивается в 2026 году и вышла из проекта oVirt, который будет развиваться теперь сугубо силами сообщества.

Таким образом будущее проекта под большим вопросом и рассматривать его для новых внедрения мы бы не советовали.

✅ Proxmox Virtual Environment – система виртуализации с открытым исходным кодом на базе Debian и технологий виртуализации KVM и контейнеризации LXC.

Одна из самых популярных и распространенных бесплатных систем виртуализации. Имеет живое сообщество и поддержку от разработчиков на форуме. Также с сети имеется много русскоязычных материалов.

Поддерживает кластеризацию и масштабирование, но в отличие от oVirt каждая нода самодостаточна и может работать как самостоятельно, так и в составе кластера. Управление производится через веб-интерфейс.

В настоящий момент именно Proxmox следует рассматривать как оптимальный вариант для новых внедрений, особенно если вы до этого еще не работали с виртуализацией.

​​Hyper-V Server больше не будет бесплатным

Данная новость не нова, но как показала практика об этом знают далеко не все пользователи. Поэтому напомним.

Hyper-V Server — это, по сути, Windows Server Core, на котором Microsoft предварительно установила роль Hyper-V. Поскольку он предоставляется бесплатно, вам потребуется оплатить только стоимость гостевых лицензий.

Hyper-V Server пользуется заслуженной популярностью, так как предоставляет мощное средство виртуализации на привычной платформе Windows, да еще и совершенно бесплатно. При этом были доступны все «взрослые» возможности, включая кластеризацию.

Первый звоночек прозвучал с выходом Windows Server 2022, тогда пользователи ждали выпуска Hyper-V Server 2022, но этого не произошло.

Позже Microsoft заявила, что отказывается от выпуска бесплатного Hyper-V Server в пользу платного Azure Stack HCI. Но сам Hyper-V все еще остается доступным как роль в Windows Server 2022.

При этом окончание поддержки последнего бесплатного выпуска Hyper-V Server 2019 продлено с 2024 на 2029 год.

Означает ли это отказ Microsoft от Hyper-V вообще? Скорее всего да, как минимум в бесплатном варианте. А точно мы узнаем с выходом новой серверной системы, которой обещает стать Windows Server 2025.

Но даже если роль Hyper-V сохранится в серверном выпуске это поставит владельцев бесплатного Hyper-V Server перед необходимостью покупать серверные лицензии Windows Server и CAL к ним.

Поэтому, если вы не готовы к серьезным финансовым вливаниям, с учетом проблематичности приобретения лицензий в наших краях, то следует присмотреться к альтернативам. Одной из них является бесплатный Proxmox, который мы давно и успешно используем.

​​Некоторые вопросы производительности виртуальных машин и все такое прочее

В комментариях в очередной раз возникла дискуссия по поводу сравнительной производительности различных сред виртуализации. Хотя уже и не раз и не два твердили миру, что накладные расходы на виртуализацию в современных системах малы и ими можно пренебречь.

Но не все так просто, особенно когда начинают тестировать разные гипервизоры в «одинаковых» условиях.

Кстати, лицензионное соглашение VMware прямо запрещает такие исследования проводить и публиковать их результаты. Наверное, они что-то скрывают? Вовсе нет. Сегодня мы расскажем одну поучительную историю.

Один наш коллега, разработчик, взял домой подработку – написать некоторую интеграцию с некоторой внешней системой, которая требовала ряда специфических библиотек, SDK и всего такого прочего.

Чтобы не замусоривать свой домашний компьютер он нашел в закромах свободный диск на 2 ТБ и поставил на него виртуалку на Windows 10 при помощи бесплатной ныне VMware Workstation.

Сначала ничего не предвещало беды, но очень скоро виртуалка стала очень сильно тормозить, практически до полного зависания на дисковых операциях. Причем, это торможение носило «накопительный» характер.

Т.е. если сильно не грузить диск, то он подтормаживал, но в целом работал. Но если задач ему накинуть – то уходил в 100% загрузку, при этом скорости обмена с диском были в это время очень скромные – несколько МБ/с.

Диск он поставил не самый плохой, но и не самый производительный - ST2000DM008 – черепица. Скажем сразу, диск очень даже неплохой и работает отлично, если не перегружать мелкоблочкой.

Но черепица – это для многих жупел, поэтому диск он поменял на WD20EARZ с классической технологией записи. Помогло? Нет.

Оба диска были проверены на бед-блоки, прогнаны через все возможные тесты, как синтетические, так и ручные – но никаких проблем выявлено не было.

В общем, коллега выбрал «помощь друга». А мы на эти грабли тоже наступали и тоже не могли сначала понять в чем дело.

Оказалось, что при создании виртуальной машины он выставил тип виртуального жесткого диска – NVMe.

Ну так он же виртуальный, мало ли чего он там выставил… А вот и нет. Вспомним про такую штуку как очереди. У классических ATA-дисков очередь одна, без всяких оптимизаций. Как команды послали – так диск их и выполнял, даже если это было не оптимально.

У SCSI и SATA появилась «умная очередь» с глубиной в 256 и 32 команды, это значило, что диск анализировал команды на указанную глубину и оптимизировал их выполнение, объединяя те, которые обращались с соседним областям диска.

Это позволяло оптимизировать запросы случайного доступа, которые являются узким местом любого механического диска.

SSD отчасти сняли эту проблему и часто система увидев в качестве носителя SSD начинает более агрессивно использовать случайные дисковые операции, т.к. они не являются для твердотельных дисков узким местом.

NVMе вообще принесло революционные изменения - 65536 очередей с глубиной 65536 команд каждая.

И вот мы говорим системе, что у нас под капотом NVMe, а сами ставим туда обычный жесткий диск, тем более черепицу.

Система начинает активно и агрессивно распараллеливать запросы, но все они утыкаются в единственную очередь глубиной в 32 команды и отягощаются служебными накладными расходами на обслуживание лент.

Но даже поменяв черепицу на классику легче не станет. Это все равно, что попытаться без задержек трафик МКАД направить на проселочную грунтовую дорогу.

А помогло пересоздание виртуальной машины с указанием типа виртуального диска адекватно используемому железу, после чего даже черепичный Seagate стал работать полностью адекватно и без тормозов.

А всего-то какая-то одна настройка, а сколько таких настроек еще может быть?